запросить Active Directory для адреса электронной почты из SQL Server 2008 R2?

Question

У нас есть запланированное задание в БД SQLS 2008R2, которое запрашивает устаревшую БД напрямую для адреса электронной почты пользователей на основе их имени пользователя (sAMAccountName).

Я бы хотел запросить AD напрямую, чтобы я мог разорвать связь между этими двумя системами, но, попробовав один и тот же совет, который появляется на каждой странице, я не могу заставить его работать, я думаю, что это тожене найден DC или сквозная аутентификация / Безопасность не работает.Мы используем проверку подлинности Windows в одном домене, частью которого являются все машины, база данных работает как учетная запись сетевой службы.

посмотрел следующее:

• Запрос Active Directory из Sql Server 2005
• Запрос Active Directory из Sql Server 2008
• Создание представления SQL Server для пользователей AD
• Распределенный запрос (статья MS KB)

Допустим, один из наших DC (у нас их несколько) называется "fredDC", а корень ldap - "DC = fred, DC = com ".

Итак, я связал сервер (здесь нет упоминания имени хоста, найден по волшебству?)

EXEC sp_addlinkedserver 'ADSI', 'Active Directory Services 2.5', 'ADSDSOObject', 'adsdatasource'

, затем я пытаюсь выполнить запрос:

SELECT sAMAccountName
FROM OPENQUERY(ADSI, 'SELECT sAMAccountName
FROM ''LDAP://DC=fred,DC=com''
WHERE objectCategory = ''Person''
AND objectClass = ''user'' ')

и получите следующую ошибку:

Msg 7321, Level 16, State 2, Line 1
An error occurred while preparing the query "SELECT sAMAccountName
FROM 'LDAP://DC=fred,DC=com'
WHERE objectCategory = 'Person'
AND objectClass = 'user' for execution against OLE DB provider "ADSDSOObject" for linked server "ADSI". 

В случае, если это была проблема сквозного прохождения Kerberos, я попытался выполнить запрос непосредственно на сервере БД и получил ту же ошибку:(

Я гуглил и не нашел много в сообщении об ошибке, неЭто было полезно, за исключением одного комментария, в котором говорилось: «Проверьте, разрешен ли связанный сервер (ADSI) для удаленного доступа». Что я не уверен, что это значит?В статье базы знаний упоминается, что серверу AD не требуется никакая другая конфигурация ???

Кто-нибудь может подсказать, как это сделать правильно?Я чувствую, что упускаю что-то очевидное (например, я нигде не настраиваю хост DC), но я не знаю, что ...

ура!

Answer 1

Это похоже на ошибку прав доступа. Как вы определили параметры аутентификации для связанного серверного устройства? Запустите его как учетную запись администратора домена и посмотрите, работает ли он.